《Mr. Robot》是我看过的最为精彩的黑客电视剧,剧中有大量真实的黑客元素,几年前看的时候有些看不太懂,直到最近才发现《Mr. Robot》技术顾问 Ryan Kazanciyan 写的揭秘文章,文章内有一些创作来源和幕后故事,看了以后觉得非常有趣,决定翻译后放到翻译平台上。
原文地址:https://medium.com/@ryankazanciyan/mr-robot-disassembled-eps3-0-power-saver-mode-h-1f8a3ba101d6
原文标题:Mr. Robot Disassembled: eps3.0_power-saver-mode.h
原文作者:Ryan Kazanciyan
原文写于:2017/10/12
译者:驱蚊器喵#ΦωΦ
翻译水平有限,有不通顺的语句,请见谅。
朋友们你们好。我是 Ryan Kazanciyan,《Mr. Robot》 的技术顾问。从第二季的后半部分,我开始与 Kor Adana (作家、制片人和 ARG 背后的策划者) ,以及《Mr. Robot》团队的其他成员一起工作。在整个第三季中,我将负责编写剧中描述的黑客,他们是如何聚集在一起的,以及他们的现实基础。
剧透警告! 本文讨论的是第三季第 1 集中的事件。
我们来玩个游戏吧?
在黑客空间举行的夺旗锦标赛(CTF,Capture the Flag)是 Kor 和我为第三季设计的第一个技术场景,也是一个很酷的让 Elliot 回到键盘上的契机。我们想从现实世界的 CTF 活动中吸取经验,并加入一些东西,让精通信息安全的观众感觉到真实可信,并且对其他人来说也同样容易接受。
在花了近一周的时间研究过去 CTF 的题目后,我偶然发现了一个基于Minesweeper(扫雷)的有趣挑战。这是一个基于终端的游戏版本,界面上的功能一应俱全,但需要一些精巧的漏洞代码来恢复游戏胜利所需的 “棋子标志”。这个游戏最初是在 2012 年第 29 届混沌通信大会(Chaos Communication Congress)期间作为 CTF 舞台使用的。这个活动,以及创立它的混沌计算俱乐部(Chaos Computing Club),是黑客历史和文化(尤其是在欧洲)的核心部分,所以我很高兴在剧中提到它们。
当 Kor 和我在现场工作时,我们一致认为用扫雷似乎真的很合适。几乎每个人都玩过游戏的原版,所以它是黑客挑战中一个熟悉而容易接触的基础题目。和其他设计很好的题目一样,有许多有创意的方法来解题。Elliot 在存档文件中下毒、破坏校验值验证、注入恶意代码来夺取 flag ,这是基于来自实际获胜团队的解题方案。多亏了 Rami Malek,他不失时机地讲出了那些密密麻麻的技术术语。
由于这将被拍成一个长镜头,我们需要准备几个动画序列,涵盖游戏的各个阶段和正在进行的解题尝试。我使用原始的 Python 脚本来捕捉扫雷板和输出信息在不同状态下的样子:解决、失败、保存、重新加载等等。我还玩了很多轮,也输了很多轮 - 我的扫雷技术很差。
这是我创建的其中一个原始模拟原型图:
我倾向于用几个打开的窗口来凑成这种密集的屏幕,这样从远处看,在视觉上很有趣,但也为多个单窗口的特写提供了大量的素材。(这也能反映我自己桌面上那种杂乱无章的状态)。
这与制作和拍摄的内容非常接近,在这个特定的场景中,不幸地是,移动的摄像机没有拍摄到能看清的显示器画面。当 Elliot 走近并与卡在这个游戏上的两名 CTF 玩家交谈时,你仍然可以看到一些镜头。
劫持 Dark Army 的后门
当黑客空间的人群庆祝赢得比赛时,Elliot 可以专注于手头的真正任务:关闭后门,使得 Dark Army 无法直接进入 E-Corp 在纽约纸质记录设施中的 UPS 管理系统。他是在借来的设备上工作,设备可以使用的时间不多。他无法进入 Evil Corp 的内部网络或任何 Dark Army 的系统。Elliot 需要迅速切断 Dark Army 使用后门的能力,同时确保 Dark Army 没有机会在太晚之前发现并阻止他。
在讨论了可用的选项后,Kor 和我确定了让 Elliot 执行接管域名的方法。
对于可能不熟悉其中一些技术概念的观众和读者,我提供一些背景知识。大多数后门恶意软件定期与服务器进行通信,以提供状态,接收更新,或给操作者发出命令的能力。这种通信心跳被称为 “信号消息(beacon)”;当操作员或系统通过控制或发布命令作出反应时,这被称为 “命令和控制(command and control)” 或 “C2”。
后门如何知道向何处发送它的信号消息或 C2 流量?如果攻击者在创建和部署恶意软件时硬编码一个 IP 地址,以后将可能很难改变这一设置。假如 C2 服务器瘫痪了?IP 被检测到,并且受害者的网络封锁了这个 IP ?你可能运气不好,无法连到你的肉鸡来处理事情。使用域名则提供了更大的灵活性:域名可以被修改,这样来解析到一个新的 IP 地址,这可以从别的任何地方来提供,而不需要直接访问恶意软件本身。
这种方法的缺点是,增加了另一个故障点:负责维护域名记录的注册商,以及将域名解析为 IP 的 DNS 服务器分级解析系统。如果你获得了对一组域名有管理员权限的用户账户的访问权 - 或者更糟糕的是,获得了注册商的整个基于网络的管理界面 - 你可以控制这些地址。在许多配置变更中,你可以确保原本用于这些域名的流量最终流向你控制的 IP 地址。
这就是 Elliot 接管域名的黑客方式。Kor 和我简化了这一切的时间和复杂性,但基本技术已经在许多现实世界的事件中得到了体现。是的,即使是一些最复杂的攻击者团体也为他们的 C2 域名使用合法的注册商服务。
不幸的是,这一幕的节奏并没有提供太多屏幕上的时间来展示 Elliot 首先是如何破坏注册商的。在我的脑海中,我推断他发现了一个基本的网络应用程序漏洞,如 SQL 注入或安全性较弱的管理界面,使得可以直接从浏览器上入侵。同样,现实世界中也有很多这样的先例。但是,你确实看到了短暂的攻击后的画面,就在 Elliot 成功登录并篡改了域名设置后不久。
我想把这些屏幕建立在一个真实的中国注册商上 - 不仅仅是为了固定管理面板的外观和感觉,也为了获得一些上下文准确的语言来标记用户界面。在一个漫长的夜晚,经过令人沮丧的搜索和大量使用谷歌翻译,我找到了我想要的:一个注册商有一个公开的演示网站,允许访问者登录到一个测试账户并探索他们的域名管理工具。
我浏览了与重新配置域名设置有关的页面,并收集了一组像上面这样的参考截图。这些作为虚构的注册商网站的设计基础,当 Elliot 重新获得后门的访问权时,你会在背景中看到这个网站。
一旦域名被 Elliot 接管成功,后门的下一次自动尝试连接到其 C2 服务器,将导致它连接到 Elliot 控制下的 IP 地址。大功告成! Elliot 再次连到了 UPS 的管理系统上。
我们以前在第二季第 12 集看到过这个后门的使用:这是一个公开的 Perl 反向 shell,称为 “rwwwshell”,只提供对受感染系统的远程命令行访问。
精通技术的观众可能会注意到,”rwwwshell” 并不是最有趣或是现在的隐蔽后门恶意软件的例子。但我们还可以推测,受害者主机可能是一个过时的或是装在裸机的 *nix 发行版,缺乏更复杂的东西所需的关键依赖。
Elliot 迅速输入一个 shred 命令,擦除后门脚本,然后丢弃连接,从而消除了 Dark Army 的后门据点。
用老式方法入侵汽车
(更新于 2017/10/15)
上周早些时候,Kor 和我主持了一个 Reddit AMA(ask me anything),其中有人问及我们如何避免 “好莱坞式黑客的垃圾剧情”。联邦调查局/Irving 的追车戏是一个很好的例子,在任何其他剧情中,一个受威胁的黑客可能会拿出一台笔记本电脑,里面有一套神奇的预装工具,可以阻止任何车辆的行驶。(如果情况紧急,他们可能会蹦出一个攻击车辆的僵尸网络)。我们必须保持真实感……但如何保持?
现实生活中已经有一些可远程漏洞利用的汽车黑客例子 - 但都是在非常有限的条件下,而且只影响一些特定的品牌和型号。用于汽车的 Metasploit (译者注:Metasploit 是一个安全漏洞检测工具) 还不存在。因此,当 Kor 和我为这个场景设计时,我意识到,我希望这个攻击不完全依赖于传统的黑客工具。这导致了研究对从别的方式来远程控制车辆 - 并最终产生了 Irving 对类似 OnStar(译者注:车载防盗安全系统) 服务的社会工程学的使用,这样来发动 “减速被盗车辆” 攻击。
The Verge 的 Russel Brandom 指出了我们在场景中包含的一些关键元素;例如,闪烁车灯,以便让请求的官员确认他们即将拦截的汽车是正确的那辆。这个细节,以及欧文所遵循的其他步骤,来自一份公共安全官员的 “最佳实践” 文件,这是我在漫长夜晚时寻找参考材料后偶然发现的。
在合适类型的领域知识和信息的支持下,老式的社会工程,不失时机地实施。这正是你可能期望从像 Irving 这样的人那里看到的黑客攻击类型。